Пакет командной строки “safety” для Python имеет потенциальную проблему безопасности. Существуют две характеристики Python, которые позволяют вредоносному коду “отравить” подпрограммы обнаружения пакетов Safety командной строки, маскируя или запутывая другие вредоносные или небезопасные пакеты. Эта уязвимость считается малозначимой, поскольку атака использует существующее условие Python, а не сам инструмент Safety. Это может произойти, если: вы запускаете Safety в среде Python, которой не доверяете. Вы запускаете Safety из той же среды Python, где установлены ваши зависимости. Пакеты зависимостей устанавливаются произвольно или без надлежащей проверки. Пользователи могут смягчить эту проблему, выполнив любое из следующих действий: выполните статический анализ, установив Docker и запустив образ Safety Docker: $ docker run –rm -it pyupio/safety check -r requirements.txt Запустите Safety для статического списка зависимостей, такого как файл requirements.txt, в отдельной чистой среде Python. Запустите Safety из конвейера непрерывной интеграции. Используйте PyUp.io, который запускает Safety в контролируемой среде и проверяет Python на наличие зависимостей без необходимости их установки. Используйте онлайн-проверку требований PyUp.